Cyberthreat.id – Kaspersky, perusahaan keamanan siber Rusia, mendeteksi operasi peretas canggih bernama “MT3” aka “MontysThree” yang menyerang sektor industri.

MontysThree memanfaatkan program malware yang terdiri dari beberapa modul. Salah satunya, modul pertama adalah pemuat (loader) yang awalnya disebarkan menggunakan file RAR SFX (arsip yang diekstrak sendiri) dan berisi nama yang terkait dengan daftar kontak karyawan, dokumentasi teknis, dan hasil analisis medis untuk mengelabui karyawan agar mengunduh file.

Loader memiliki tugas utama memastikan malware tidak terdeteksi antivirus di sistem dengan menerapkan teknik “sembunyi” yang dikenal sebagai steganografi.

Steganografi digunakan oleh aktor ancaman untuk menyembunyikan fakta bahwa data sedang dipertukarkan, tulis Kaspersky dalam siaran pers yang diterima Cyberthreat.id, Kamis (8 Oktober 2020).

Dalam kasus MontysThree, muatan berbahaya utama disamarkan sebagai file Bitmap (format untuk menyimpan gambar digital). Jika perintah telah benar dimasukkan, loader akan menggunakan algoritma yang dibuat khusus untuk mendekripsi konten dari larik piksel dan menjalankan muatan berbahaya.

MontysThree dirancang secara khusus menargetkan dokumen Microsoft dan Adobe Acrobat juga dapat menangkap tangkapan layar dan "sidik jari" (yaitu mengumpulkan informasi tentang pengaturan jaringan, nama host, dll.) target.

Informasi yang dikumpulkan dan komunikasi lainnya dengan server kontrol kemudian di-hosting di layanan cloud publik seperti Google, Microsoft, dan Dropbox.

"Hal ini membuat lalu lintas sulit untuk dideteksi berbahaya. Karena tidak ada antivirus yang memblokir layanan ini, maka dipastikan server kontrol dapat menjalankan perintah tanpa gangguan," tulis Kaspersky.

MontysThree juga menggunakan metode sederhana untuk mendapatkan persistensi pada sistem yang terinfeksi dan pengubah untuk Windows Quick Launch. Pengguna secara tidak sengaja menjalankan modul awal malware sendiri setiap kali mereka menjalankan aplikasi yang sah, seperti browser, saat menggunakan toolbar Quick Launch.

Peneliti keamanan senior dengan Kaspersky’s Global Research and Analysis Team, Denis Legezo, mengatakan, MontysThree ini sangat menarik bukan hanya karena fakta bahwa ia menargetkan kepemilikan industri, tetapi karena kombinasi taktik yang canggih dan agak sedikit amatir.

"Mereka menggunakan standar kriptografi yang kuat dan memang terdapat beberapa keputusan yang tech-savvy, termasuk steganografi khusus," ujar Legezo.

Sejauh ini, Kaspersky belum dapat menemukan kesamaan  kode berbahaya atau infrastruktur dengan kelompok-kelompok APT lain—peretas yang diduga mendapatkan dukungan sebuah negara.[]

Redaktur: Andi Nugroho